当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079658

漏洞标题:江南天安客户信息泄漏(影响某世界五百强公司内网系统安全)2

相关厂商:北京江南天安科技有限公司

漏洞作者: _Thorns

提交时间:2014-10-16 22:37

修复时间:2014-11-30 22:38

公开时间:2014-11-30 22:38

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-16: 细节已通知厂商并且等待厂商处理中
2014-10-17: 厂商已经确认,细节仅向厂商公开
2014-10-27: 细节向核心白帽子及相关领域专家公开
2014-11-06: 细节向普通白帽子公开
2014-11-16: 细节向实习白帽子公开
2014-11-30: 细节向公众公开

简要描述:

本来想一块提交的,突然间发现可以连接另外一个单位的VPN。

详细说明:

大数据,大家都懂的。

h***[email protected] 密码:13261695190hl
pa***[email protected] 密码: pan2305
yix***[email protected] 密码: y5b4ckf7
c***[email protected] 密码: cq19850730

漏洞证明:

1.jpg


在某邮箱发现一个有意思的VPN连接。
润滑油SSL VPN登录:https://vpn.lube.sinopec.com
用户名:caiq***ube
密码:cai***ass

2.jpg


好吧,又是一个大内网。

3.jpg


腾讯通服务器,这个拿去爆破可不难哦,全企业结构都可以看出来。

4.jpg


至于内网的什么弱口令,我就不多说了,附图就好。

3389.png


这是什么东西?我看不懂,还是win 2000的系统...

33891.png

修复方案:

版权声明:转载请注明来源 _Thorns@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-10-17 16:45

厂商回复:

感谢对江南天安的支持

最新状态:

暂无